NIS2 – Richtlinie

Was ist NIS2 & Wer ist betroffen?

NIS2-Richtlinie – für die Sicherheit von Netzwerk- und Informationssystemen

NIS2 ist eine zweite Iteration einer Richtlinie der EU, die sich mit der Network & Information Security beschäftigt. Hierzu wird von der EU vorgegeben, dass betroffene Unternehmen einen angemessenen Standard an Cybersicherheit (IT & Informationssicherheit) einhalten müssen. Bei Nichteinhaltung drohen Bußgelder, für die eine persönliche Haftung von Führungskräften festgelegt ist.

Die NIS2 Richtlinie ist bis zum Oktober 2024 umzusetzen.

Wichtig: Die Betroffenheit muss selbst ermittelt werden! Es wird hier keine Aufforderung oder Anmerkung von öffentlichen Stellen geben.

Ob ein Unternehmen betroffen ist hängt von 2 Faktoren ab:

Unternehmensgröße: betroffen sind Unternehmen die Mindestens 50 Mitarbeiter/innen und einen Jahresumsatz von 10 Mio. EUR hat
UND

  • Energie (Elektrizität, Fernwärme, Erdöl, Erdgas, Wasserstoff)
  • Transport (Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr)
  • Bankwesen (Kreditinstitute)
  • Finanzmarktinfrastruktur (Handelsplätze, Zentrale Gegenpartien)
  • Gesundheit (Gesundheitsdienstleister; EU Labore, Medizinforschung, Pharmazeutik, Medizingeräte)
  • Trinkwasser (Wasserversorgung)
  • Abwässer (Abwasserentsorgung)
  • Digitale Infrastruktur (Internet-Knoten (IXP), DNS (ohne Root), TLD Registries, Cloud Provider, Rechenzentren, CDNs, Vertrauensdienste (TSP), Elektronische Kommunikation)
  • IKT-Dienstleistungsmanagement (B2B) (Managed Service Providers, Managed Security Service Providers)
  • Öffentliche Verwaltungen (Zentralregierung, regionale Regierung)
  • Weltraum (Bodeninfrastruktur)
  • Post- und Kurierdienste (Postdienste)
  • Abfallwirtschaft (Abfallbewirtschaftung)
  • Herstellung, Produktion und Vertrieb von Chemikalien
  • Lebensmittelproduktion, -verarbeitung und -vertrieb
  • Produktion, Herstellung von Medizinprodukten, Maschinen, Fahrzeugen sowie elektrischen/elektronischen Geräten
  • Digitale Anbieter (Marktplätze, Suchmaschinen, soziale Netzwerke)
  • Forschung (Forschungsinstitute)

 

Zusätzlich sind Unternehmen in folgenden Sektoren betroffen ungeachtet von Mitarbeiteranzahl und Jahresumsatz:

  • Vertrauensdiensteanbieter
  • Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste
  • TLD-Namenregister und DNS-Dienstanbieter
  • Alleinige Anbieter eines Service, der essenziell für die Aufrechterhaltung kritischer gesellschaftliche/wirtschaftlicher Aktivitäten ist
  1. Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme;
  2. Bewältigung von Sicherheitsvorfällen;
  3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement;
  4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern;
  5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen;
  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit;
  7. grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;
  8. Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;
  9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen;
  10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung

 

Welche Konsequenzen drohen bei Nichteinhaltung?
Für wesentliche Einrichtungen betragen die Bußgelder 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes, für wichtige Einrichtungen sind die Bußgelder auf 7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes gedeckelt. Es wird bei den Unterscheidungen ob Fixbetrag oder Anteil des Umsatzes der jeweils größere Betrag angesetzt!

 

Zusätzlich wurde eine persönliche Haftung von Führungskräften eingeführt.